ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Virus.DOS.Frodo

Fecha de detección 11/20/2003
Clase Virus
Plataforma DOS
Descripción

Este es un virus oculto residente en memoria, 4096 (1000h) bytes de longitud. Infecta archivos al ejecutarse o cerrarse. La contaminación de los archivos de datos también es posible. El virus completa su copia de tal manera que el tamaño de un archivo infectado crecerá exactamente en 4096 bytes (vea "Eddie.2000"). En los archivos infectados, el virus hace que la hora de la última modificación aumente en 100 años. En los archivos COM, altera los primeros 6 bytes, y en los archivos EXE altera el encabezado.

Al ingresar los archivos, "Frodo" usa los valores verdaderos de los vectores de interrupción 13h y 21h, que recibe usando el algoritmo "Yankee". Además de esto, "Frodo" modifica los primeros 5 bytes del controlador INT 21h.

Al crear su TSR-copy, el virus ocupa las direcciones principales que resultan en infectar el archivo COMMAND.COM. "Frodo" establece la dirección del propietario en su MCB, coincidiendo con la dirección del primer propietario de MCB en el sistema, enmascarando de tal modo como DOS. Más tarde, la copia del virus podría moverse a través de la memoria en la dirección de las direcciones inferiores, asignando nuevas áreas de memoria y borrando las antiguas.

Un virus sigiloso genuino: intercepta INT 21h, maneja 20 (!) Funciones de él (FindFirst, FindNext, Read, Write, Lseek, Open, Create, Close, Exec, etc.) y se enmascara de manera efectiva. Cuando DOS intenta acceder a un archivo infectado, el virus sustituye su longitud original y la hora de la última modificación. Al leer o cargar un archivo en la memoria, modifica la información leída del disco de tal forma que el archivo aparece como si no estuviera infectado. Al abrir un archivo infectado para escritura, el virus lo cura (porque al escribir en el archivo podría eliminar parte del virus) y lo reinfecta al cerrarlo.

El virus se ejecuta desde el 22 de septiembre hasta el 31 de diciembre de cada año. No se sabe cómo se ejecuta el virus, porque el área correspondiente del código del virus se elimina. Se puede suponer que el virus elimina el sector Boot de un disquete y el sector MBR del disco duro, escribiendo allí su propio código. Al reiniciar desde un disco de este tipo, la pantalla muestra (usando símbolos pseudo-gráficos) el mensaje "¡FRODO VIVE!" en letras grandes


Enlace al original